タグ : juniper

Juniperのサイト活用法

juniper-networks-blue-png

CCO(www.cisco.com)の活用方法を解説するサイトはあるけど、Juniper(www.juniper.net)の活用方法を解説しているサイトが無い気がしたので勢いで書いてみる。

プロダクトの情報

各プロダクトの情報は以下のページから辿っていけば効率的です。

Network Security Products and Services – Juniper Networks

プロダクトのサイズ、消費電力といったデータシートを調べることが出来ますよ。

もっと詳細な情報を調べたい場合は、Technical Documentationのページから辿っていけばOK

Technical Documentation – Support – Juniper Networks

OSの情報

Junosの情報は先ほどのTechnical Documentationから、Junos OSのリンクを辿っていけば、バージョンごとの情報を調べることが出来ます。

Junos OS – Technical Documentation – Support – Juniper Networks

OSのダウンロード(アカウント要)

Junos OSのダウンロードは、ページ最下部のSoftware Downloadsから辿っていけばダウンロードページにアクセス出来ます。

Junos Platforms – Download Software – Support – Juniper Networks

情報メールの受信(アカウント要)

プロダクト事にUpdate Informatinがあった場合、メールを受信することが出来ます。

Supportページから、Technical Bulletinsのページで設定が可能です。

構成確認ツール(アカウント要)

CiscoのDynamic Configuration Tool的なツールも用意されています。

Juniper Configurator Tool

使い方はめんどいので説明しないけど、直感的に使えるんじゃないかと。

IOSコマンドをJunosに変換するツール(アカウント要)

IOSのコマンドに対応したJunosコマンドに変換してくれるツールも準備しています。

IOS to Junos Translator

IOSコマンドを入力して、Translateボタンを押すと変換してくれます。

と、ここまで書いてみて気づいたけど、アカウント不要で活用しているページってあんまないなぁ。
というか、そもそもJuniperのサイト活用してないわぁ。。。

JuniperからもOSPFに関するセキュリティ・アラート

medium_688068169

先日、CiscoがOSPFに関するセキュリティアドバイザリを発表という記事を書きましたが、同様なセキュリティ・アラートがJuniperからも発表されています。

2013-07 Out of Cycle Security Bulletin: Multiple products: OSPF protocol vulnerability (CVE-2013-0149)

via:Juniper Networks – 2013-07 Out of Cycle Security Bulletin: Multiple products: OSPF protocol vulnerability (CVE-2013-0149) – Knowledge Base

遠隔からOSPFデータベースを自由に制御されてしまう脆弱性。
OSPFはLSAの受信に、’Link State ID’ と ‘Advertising Router’ フィールドが一致するかどうかを確認しておらず、この仕様が原因で、攻撃者からOSPFデータベースを制御されてしまう可能性があることこと。

ワークアラウンドはMD5設定を有効にするか、対策済みのOSに変更する必要があるとのこと。

Juniperがプログラマブル・コア・スイッチ for SDN製品を発表予定

Juniperが、EX9200と呼ばれる、プログラマブル・コア・スイッチ for SDN製品を発表するようです。

Juniper to unveil programmable core switch for software-defined networking – Network World

Sources say it is called the EX9200 and is based on the MX router. It comes in three configurations: 4-slot, 8-slot and 14-slot chassis, the same form factors as the company’s successful MX 240, 480 and 960 routers for enterprises and service providers. …

記事に書かれていたスペックは以下の通り

・処理能力は240G/slot
・ラインカードは、40x1G、32x10G, 4x40G and 2x100G をサポート
・100万MACアドレス
・256k経路
・32000 VLAN
・256k ACL
・レイヤ2/3スイッチング、MPLS、VPLS、L3VPN、ポイントツーマルチポイント
・MPLS FRRを使用して、50ミリ秒のコンバージェンスをサポート

Juniper(JUNOS)で脆弱性に関するアナウンス

medium_3813295674

若干乗り遅れた感はありますが、2/1にJuniper(JUNOS)の脆弱性に関するアナウンスが出ていました。

Security flaw in Juniper’s JunOS can be used to crash routers – Networking – Technology – News – iTnews.com.au

By sending a specially crafted transmission control protocol (TCP) packet to a listening port on a Juniper Routing Engine, it’s possible to make the kernel in JunOS crash, and cause them to swich over or reboot.

リスニング状態のTCP ポートから特別に細工されたパケットを受け取ると、Junos カーネルがクラッシュする可能性があるとのこと。

該当のOSはJunos 7.6R1以降のバージョンとのこと。

ルータのコントロールプレーンを防御する手法がRFC6192として標準化

悪意のあるトラフィックからルータのコントロールプレーンを保護するための手法がRFC6192として標準化されました。

This memo provides a method for protecting a router’s control plane
from undesired or malicious traffic. In this approach, all
legitimate router control plane traffic is identified. Once
legitimate traffic has been identified, a filter is deployed in the
router’s forwarding plane. That filter prevents traffic not
specifically identified as legitimate from reaching the router’s
control plane, or rate-limits such traffic to an acceptable level.

via: RFC 6192 – Protecting the Router Control Plane

RFCの中には、実際にCiscoとJuniperの設定例が記載されています。

Cisco IOSの場合は、CoPP (Control Plane Policing)を使ってコントロールプレーン宛のパケットを制御します。

!Start: Protecting The Router Control Plane
!
!Control Plane Policing (CoPP) Configuration
!
!Access Control List Definitions
!
ip access-list extended ICMP
permit icmp any any
ipv6 access-list ICMPv6
permit icmp any any
ip access-list extended OSPF
permit ospf 192.0.2.0 0.0.0.255 any
ipv6 access-list OSPFv3
permit 89 FE80::/10 any
ip access-list extended IBGP
permit tcp 192.0.2.0 0.0.0.255 eq bgp any
permit tcp 192.0.2.0 0.0.0.255 any eq bgp
ipv6 access-list IBGPv6
permit tcp 2001:DB8:1::/48 eq bgp any
permit tcp 2001:DB8:1::/48 any eq bgp
ip access-list extended EBGP
permit tcp host 198.51.100.25 eq bgp any
permit tcp host 198.51.100.25 any eq bgp
permit tcp host 198.51.100.27 eq bgp any
permit tcp host 198.51.100.27 any eq bgp
permit tcp host 198.51.100.29 eq bgp any
permit tcp host 198.51.100.29 any eq bgp
permit tcp host 198.51.100.31 eq bgp any
permit tcp host 198.51.100.31 any eq bgp

via: RFC 6192 – Protecting the Router Control Plane